iOSユーザーは判明済みの深刻な脆弱性を数週間放置されていたと元社員がAppleを批判

By O!creationsphotography

2014年4月22日にAppleはiOSの最新版アップデート「iOS 7.1.1」とOS Xのセキュリティアップデートをリリースしました。SSLなどの複数の深刻な脆弱性の問題に対する修正パッチが含まれていますが、Appleのセキュリティチームで働いていた元社員が、「Appleは深刻な脆弱性を数週間放置している」とApple製品の危険性を訴えています。

IOS 7.1.1
http://support.apple.com/kb/DL1736?viewlocale=ja_JP

セキュリティアップデート 2014-002 (Mavericks)
http://support.apple.com/kb/DL1740?viewlocale=ja_JP

Apple + Patching = You’re Doing It Wrong :( | Kristin Paget's Blog
http://www.tombom.co.uk/blog/?p=492

Appleのセキュリティチームで1年間働いた経歴を持つ「ホワイトハット(善意のハッカー)」のクリスティン・パジェットさんは、4月22日にリリースされたiOS 7.1.1の最新版セキュリティアップデートで修正された脆弱性のうち、WebKit関連の16件に注目しました。

以下は3週間前にリリースされたデスクトップ版Safari 6.1.3とSafari 7.0.3で修正された脆弱性のリスト。比べてみると「CVE-2013-2871」「CVE-2014-1298」「CVE-2014-1299」など共通するものがいくつも出てきますが、これはつまり、Safariで脆弱性が修正された後もiOSでは3週間にわたって脆弱性が放置されていたことを示しています。

脆弱性の中には、ユーザーに気付かれずにiPhoneやiPadで悪意のあるコードを実行できる能力を「ブラックハット(悪意のあるハッカー)」に与えるものが含まれていました。このようにデスクトップ版を修正してから間を置いてiOSに修正パッチをリリースするというスケジュールと対応の遅さは、ブラックハットたちにリバースエンジニアリングを行う時間を与え、パッチがリリースされていない製品を攻撃するためのツールを開発する絶好の機会を与えているとパジェットさんは指摘。「冗談抜きで、Appleは一体何をやっているの？」「こんなビジネスが、なぜ世界中で受け入れられているの？」と痛烈に批判しています。

By Mark Philpott

iOSとOS Xという2つのプラットフォームを持つApple製品は、iCloudによって同期できる特徴を持ちます。そのため最新版修正パッチがリリースされても、一方では同じ脆弱性が放置されているというスケジュールであるため、パジェットさんは「私はアップデートのリリース当日にOS XとiOS製品を同期することはないでしょう。修正パッチが発表されたらセキュリティ最新版ページを見比べて、クロスチェックを行うべきです」と警告しています。